Rz. 368
Nach § 31 Abs. 1 BDSG Neu soll die "Verwendung" (= Verarbeitung) eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person (Scoring) nur zulässig sein, wenn
1. |
die Vorschriften des Datenschutzrechts eingehalten wurden, |
2. |
die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind, |
3. |
für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt wurden und |
4. |
im Fall der Nutzung von Anschriftendaten die betroffene Person vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung dieser Daten unterrichtet worden ist; die Unterrichtung ist zu dokumentieren. |
Rz. 369
Die insgesamt vier Zulässigkeitsvoraussetzungen müssen kumulativ vorliegen ("und", nicht "oder"), damit eine "Verwendung" zulässig ist. Der Begriff der "Verwendung" ein der Datenverarbeitung nachgelagertes Stadium betreffen. Dies ist in dem Sinne zu verstehen, dass die Bildung des Wahrscheinlichkeitswertes durch spätere Vertragspartner der natürlichen Person oder sonstige Dritte, insbesondere Auskunfteien, sich nicht an diesen Vorgaben orientieren muss. Auf der anderen Seite spricht die ursprüngliche Gesetzesbegründung der Bundesregierung (auch) davon, dass die Einmeldungvon Positiv- und Negativdaten“ in Kreditinformationssysteme“ sichergestellt werden soll, was für ein weiteres Verständnis des Verwendungsbegriffs sprechen würde und neben der internen Entscheidung über das Ob einer Vertragsbegründung, -durchführung oder Beendigung auch die Übermittlung (= Einmeldung) derartiger Informationen an Kreditinformationssysteme nur in Bezug auf Scores zulässig sein soll, die unter Berücksichtigung der in Abs. 1 Nr. 1 bis 4 aufgezählten Voraussetzungen gebildet wurden. Es ließe sich argumentieren, dass die Ausführungen in der Drucksache 18/11655 jüngeren Datums sind und die Ausführungen in der Gesetzesbegründung insoweit "überholt" sind. Gleichwohl findet sich aber keine klare Abkehr von der ursprünglichen Aussage; vielmehr wird weiterhin an der Überleitung der §§ 28a und 28b BDSG festgehalten, was eher für ein weites Verständnis des Verarbeitungsbegriffes spricht. Will man die Norm des § 31 Abs. 1 BDSG grundsätzlich für anwendbar halten, wird diese Frage sicherlich schnell Bedeutung für die Praxis erlangen und die Gerichte beschäftigen.
Rz. 370
Der Verantwortliche, der Wahrscheinlichkeitswerte zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses verwenden möchte, ist für das Vorliegen der in § 31 Abs. 1 Nr. 1–4 BDSG-Neu normierten Voraussetzungen darlegungs- und beweispflichtig. Dabei schafft die Norm auch hier erhebliche Unsicherheiten.
Rz. 371
So ist schon fraglich, was unter Einhaltung der Vorschriften des Datenschutzrechts zu verstehen ist. Dies kann in dem Sinne verstanden werden, dass die gesamte, der "Verwendung" vorgelagerte Datenverarbeitung rechtmäßig gewesen sein muss, so dass die Einhaltung der Grundsätze in Art. 5 DSGVO, der Informationspflichten des Verantwortlichen, aber eben auch die Einhaltung der sonstigen Bestimmungen der DSGVO nachgewiesen werden müssten. Dies würde dann aber auch die Datenschutzfolgenabschätzung betreffen, auf deren Einsichtnahme die betroffene Person nach der DSGVO gar kein Anrecht hat. Soweit Daten nach Art. 6 Abs. 1 lit f) DSGVO verarbeitet werden, würde die Nachweispflicht auch eine Darlegung des Abwägungsvorgangs und nicht bloß die Information über die berechtigten Interessen umfassen. Fraglich ist auch, ob die Rechtmäßigkeit bis zur Bildung des Scores bestanden haben muss oder auch darüber hinaus. Im letzteren Fall dürfte sich die die Frage anschließen, ob ein ex nunc wirkender Widerspruch gegen die Verarbeitung eines Datums, welches (auch) in die Bildung des Wahrscheinlichkeitswertes eingeflossen ist, zu einer Verwendungssperre des Scores führt. Auch dies bleibt unbeantwortet. Es ist jedoch nicht davon auszugehen, dass der Gesetzgeber mit der Anforderung in § 31 Abs. 1 Nr. 1 BDSG-Neu tatsächlich derart weitreichende Anforderungen an den Verantwortlichen stellen wollte. Ob der hier normierten Voraussetzung tatsächlich eine eigenständige Bedeutung zukommt, ist fraglich.
Rz. 372
Die Anforderung in § 31 Abs. 1 Nr. 2 BDSG-Neu entspricht wortgleich der bisherigen Regelung in § 28b Nr. 1 BDSG; auch inhaltlich soll mit der Neufassung (wohl) keine Änderung verbunden sein. Wann ein Verfahren ein wissenschaftlich anzuerkennendes mathematisch-statistisches Verfahren darstellt, erklärt der Gesetzgeber, wie schon in § 28b BDSG, nicht. Vereinzelt wird die Auffassung vertreten, ein solches Verfahren sei nur gegeben, wenn aus einer ex ante Betrachtung ein...